|
Cosa è il
“Documento Programmatico della Sicurezza”?
E' un documento da produrre entro il 31/12/2005 e da rivedersi
su base annuale che consiste principalmente in una “Analisi dei
Rischi” a cui i dati personali gestiti dalla vostra Azienda sono
soggetti ed in una enunciazione delle misure di sicurezza che
verranno adottate dall'Azienda per proteggere tali dati.
Inoltre, si identificano le funzioni aziendali che hanno la
responsabilità per la protezione dei dati personali.
|
|
E' vero
che è obbligatorio per tutte le organizzazioni avere un DPS
(Documento Programmatico della Sicurezza)?
No! Il D.P.S. è obbligatorio (Art. 34 del Testo Unico) solo
per quelle organizzazioni che trattano dati personali (anche non
sensibili) con l'impiego di elaboratori elettronici. Chi tratta
i dati solo manualmente su supporto cartaceo, non è tenuto ad
avere il DPS. |
|
Quali sono
i dati personali?
A titolo esemplificativo:
- il nome, il cognome, l’indirizzo, il numero di telefono, il
codice fiscale, la partita I.V.A., dati bancari...
- informazioni circa la composizione del nucleo familiare, la
professione esercitata da un determinato soggetto, sia fisico
che giuridico, la sua formazione...
- fotografie, radiografie, video, registrazioni, impronte...
- informazioni relative al profilo creditizio, alla
retribuzione...
- informazioni relative alla salute di un soggetto, alla vita
sessuale, alla partecipazione ad associazioni di categoria, a
partiti, trattenute sindacali, cartelle cliniche, rilevazioni di
presenze... |
Chi si
deve adeguare al Dlgs. 196/2003 noto come “Codice della
Privacy”?
Tutte le aziende, cooperative, professionisti, centri
servizi, e chiunque tratti dati personali dei clienti e dei
fornitori. Probabilmente avete anche un archivio dei dipendenti
che oltre ai dati personali degli stessi contiene, direttamente
o indirettamente, anche i loro dati “sensibili” (p.e. i
certificati medici e sanitari). Tutti questi archivi (che
possono essere in formato elettronico e/o cartaceo) vanno messi
in sicurezza come richiesto dalla legge ai fini di proteggere il
diritto alla Privacy degli interessati. |
Chi tratta
esclusivamente dati personali non sensibili è obbligato al DPS?
Assolutamente Si.
L’art. 34 del D. Lgs. 196/03 recita testualmente:
Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato B), le
seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
g) tenuta di un aggiornato documento programmatico
sulla sicurezza; h) adozione di tecniche di
cifratura o di codici identificativi per determinati trattamenti
di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari. |
Chi
controlla che le misure minime e gli altri adempimenti previsti
dalla legge sono messi in pratica?
La Polizia Postale (con le sue 76 Sezioni sul territorio) e
la Guardia di Finanza in forza di un protocollo di intesa con il
Garante. |
Se esiste
una autorizzazione generale al trattamento dei dati, è possibile
trattare i dati senza il consenso dell'interessato?
No, è solo possibile omettere la notifica al Garante e si
può procedere con il trattamento dei dati, osservando tutte le
prescrizioni |
E'
obbligatorio preparare un D.P.S. (Documento Programmatico sulla
Sicurezza) che contenga una analisi dei rischi?
Si, è esplicitamente richiesto dal comma 19.6 dell'Allegato
B del D.Lgs. 196/03 per tutte le organizzazioni che trattano
dati sensibili con l'ausilio di elaboratori elettronici.
|
Ogni
quanto tempo il Documento sulla sicurezza deve essere
aggiornato?
Il documento va aggiornato almeno ogni anno, salvo
cambiamenti rilevanti nell'organizzazione aziendale o nei dati
da trattare (ad esempio l'azienda inizia a tenere nota della
religione dei propri clienti...) |
Si può
scegliere di ignorare questa legge? Quali sono i rischi
connessi?
I rischi possono essere di carattere civile e penale. La
sensibilità dell'opinione pubblica sul tema della privacy è
molto alta. In caso di incidenti anche banali (p.e. il furto di
un disco o di un computer contenente dati personali nella vostra
azienda) potreste non essere in grado di dimostrare che i dati
erano trattati in modo conforme alla legge. In questo caso vi
esponete al rischio di sanzioni penali (ricordate che la
responsabilità penale è personale) |
Quali sono
le sanzioni?
Le nuove misure, oltre ad essere più rigorose di quelle previste
dalla vecchia normativa, implicano, qualora disattese,
importanti sanzioni di carattere penale ed amministrativo.
Trattamento illecito di dati (art.167).
Reclusione da 6 a 18 mesi (se dal trattamento deriva nocumento)
se si violano gli artt. 18, 19, 23, 126, 130;
Reclusione da 6 a 24 mesi (se il fatto consiste nella
comunicazione e/o diffusione dei dati personali) se si violano
gli artt. 18,19, 23, 126, 130;
Reclusione da 1 a 3 anni (se il fatto costituisce reato più
grave: al fine di trarre profitto per se o altri o per arrecare
danno) se si violano gli artt. 17, 20, 21, 22, 25, 26, 27 e 45;
Falsità nelle dichiarazioni e notificazioni al Garante (art.168).
Reclusione da 6 mesi a 3 anni nel caso di falsità nelle
dichiarazioni e notificazioni al Garante;
Misure minime di sicurezza (art.169)
Reclusione fino a 2 anni o ammenda da 10.000 a 50.000 euro per
coloro che omettono di adottare le misure minime di sicurezza
come previste dall’art. 33 (art. 169);
Inosservanza di provvedimenti del Garante (art.170).
Reclusione da 3 mesi a 2 anni;
Omessa o inidonea informativa all’interessato (art.161).
Sanzione amministrativa da 3.000 a 18.000 euro, ex art.13
(aumentabili sino al triplo se risulta inefficace per le
condizioni economiche del contravventore) per violazione dei
dati;
Violazione dei dati sensibili o giudiziari (art.161).
Sanzione amministrativa da 5.000 a 30.000 euro e fino al triplo
se risulta inefficace per le condizioni economiche del
contravventore;
Altre fattispecie (art.162).
Sanzione amministrativa da 5.000 a 30.000 euro per cessione dei
dati in violazione dell’ art.16, 1° comma lett. b) (legittimità
della cessione dei dati);
Altre fattispecie (art.162).
Sanzione amministrativa da 500 a 3.000 euro per la violazione
art. 84, 1° comma (comunicazione di dati relativi allo stato di
salute).
Oltre alle sanzioni penali ed amministrative sopraindicate,
occorre considerare le responsabilità di natura civile.
Il Legislatore, infatti, considera il trattamento dei dati
personali come attività pericolosa ex art. 2050 del
Codice Civile.
Il trattamento illecito dei dati, costituendo una violazione al
diritto fondamentale alla protezione dei dati personali, espone
a responsabilità civile, coloro che non hanno adottato le misure
minime di protezione, a prescindere dalla determinazione di un
danno patrimoniale all’interessato (danno non patrimoniale ex
art. 15). |
|